Tech Blog

Die angeblich hochkritische CVE-2022-50911 Schwachstelle mit einem CVSS-Score von 8.8 hat sich nach genauerer Prüfung als Fehlalarm entpuppt. Die zuständige Behörde hat den Eintrag daraufhin zurückgezogen, da es sich doch nicht um ein Sicherheitsproblem handelte. Admins können also erstmal durchatmen und müssen hier keine Gegenmaßnahmen ergreifen.

Eine kritische Schwachstelle in älteren Versionen von Apache Struts erlaubt das Umgehen der XML-Validierung. Dies kann Angreifer zur Ausführung von Schadcode auf betroffenen Systemen befähigen. Betroffen sind Struts-Versionen von 2.0.0 bis 6.1.0. Nutzer werden dringend empfohlen, auf Version 6.1.1 zu aktualisieren, um das Problem zu beheben.

In älteren Versionen von ConnectWise PSA können Zeiterfassungsnotizen unzureichend escaped werden, was unter bestimmten Bedingungen das Ausführen von Skriptcode im Browser-Kontext des Nutzers ermöglicht. Betroffen sind Versionen vor 2026.1. Ein Patch ist erforderlich, um diese kritische Sicherheitslücke zu schließen.

Eine Schwachstelle in der Poly Lens Desktop-Anwendung für Windows ermöglicht es Angreifern, das Dateisystem zu manipulieren und so Systemrechte zu erlangen. Administratoren sollten dringend ein Update installieren, sobald es verfügbar ist, um ihre Systeme vor dieser kritischen Sicherheitslücke mit CVSS-Score 9.8 zu schützen.

Die Open-Source-Anwendung "Dive" zur Integration von LLMs wies vor Version 0.13.0 eine kritische Sicherheitslücke auf. Angreifer konnten über manipulierte Deeplinks eine Konfiguration eines Kontrollservers installieren und so willkürlichen Schadcode auf dem Opfersystem ausführen. Die Schwachstelle wurde mit dem Update 0.13.0 behoben.

Eine kritische Sicherheitslücke in Microsoft SharePoint ermöglicht autorisierten Angreifern das Ausführen von Schadcode über ein Netzwerk. Die Schwachstelle betrifft die unsachgemäße Neutralisierung von Sonderzeichen in SQL-Befehlen (SQL-Injection). Admins sollten umgehend ein Sicherheitsupdate installieren, um ihre SharePoint-Systeme vor Missbrauch zu schützen.

Eine Sicherheitslücke im PHP-Framework HealthHub ermöglicht es Angreifern, lokal Dateien auf dem Server einzubinden. Die Schwachstelle betrifft Versionen bis einschließlich 1.3.0 und hat eine Bewertung von 8.2 (Hoch). Administratoren sollten umgehend ein Update auf eine neuere, gepatche Version installieren, um das System vor Missbrauch zu schützen.

Eine kritische Sicherheitslücke (CVE-2026-22781) in der Delphi-basierten Webserver-Software TinyWeb ermöglicht es Angreifern, durch manipulierte CGI-Abfragen beliebige Befehle auf dem Server auszuführen. Betroffen sind Versionen vor 1.98. Ein Patch ist verfügbar, der dieses Problem behebt.

In der Termix-Plattform, einem webbasierten Server-Management-Tool, existiert von Version 1.7.0 bis 1.9.0 eine kritische Sicherheitslücke im Dateimanager-Modul. Angreifer können manipulierte SVG-Dateien hochladen, die beim Öffnen im Termix-Kontext beliebigen JavaScript-Code ausführen. Dieser Fehler wurde in Version 1.10.0 behoben.

Eine kritische Schwachstelle in dem WordPress-Theme "Otaku" ermöglicht lokale Dateieinbindung. Angreifer können damit potenziell beliebigen PHP-Code ausführen. Das Theme ist von Version n/a bis 1.8.0 betroffen. Ein Patch ist erforderlich, um die Sicherheitslücke zu schließen.